継続的なアセットディスカバリー:把握していないものを保護することはできない理由
Erika Miller
Principal Security Architect
組織がスケールするにつれて、そのデジタルフットプリントは指数関数的に拡大します。マーケティング用のランディングページ、開発用のステージングサイト、API、パートナーとの連携システムが毎週のように作成されますが、これらはコアセキュリティチームの直接的な目が届かないところで構築されることが少なくありません。
この現象は シャドーIT または 未管理アセット と呼ばれ、現代のサイバー攻撃における最大の侵入経路の一つとなっています。古い脆弱なサービスを実行したまま放置された、たった一つのステージングサーバーが、ネットワーク境界を突破される原因になります。
静的なインベントリ管理の盲点
多くのセキュリティプログラムは、依然としてスプレッドシートや、四半期に一度のペネトレーションテスト、あるいは月次のアセット更新に頼ってデジタルアセットを把握しています。何もないよりはマシですが、この静的なアプローチには危険なタイムラグが生じます。
たとえば、開発者が金曜日の朝に一時的なテスト環境を立ち上げた場合、次の監査が行われるまでの数週間にわたり、パブリックインターネットに露出した状態になる可能性があります。攻撃者は監査を待ってくれません。自動化されたインターネット規模のスキャナーは、新たに露出したサービスを1時間未満で検出して悪用を開始します。
現実のデータ
新しい公開アセットが脅威アクターによってスキャンされるまでの平均時間は50分未満です。セキュリティチームは彼らよりも先にそれを見つけなければなりません。継続的なディスカバリーが問題を解決する方法
継続的なアセットディスカバリー(Continuous Asset Discovery)とは、組織が所有するインターネットに直面したすべてのアセットを自動的かつ絶えずマッピングし、インデックスを作成するプロセスです。これにより、開発の俊敏性とセキュリティ監視のギャップを埋めることができます。
アクティブ・ディスカバリー・エンジンの主な機能
Resolvyのような堅牢なディスカバリーシステムは、複数のアプローチを用いて露出したアセットを検出します。
- DNSブルートフォースおよびパッシブDNS: 公開されているDNSレコードやデータベースを照会し、新しいサブドメインを特定します。
- 証明書透明性(Certificate Transparency)ログ: 発行された公開SSL/TLS証明書をリアルタイムで監視します。
- IPアドレス空間のスキャン: 割り当てられたIP範囲を継続的にスキャンし、新しく開かれたポートやサービスを検出します。
検出から検証(Validation)へ
アセットを見つけることは最初のステップに過ぎません。新しいターゲットが検出されたら、自動的にスキャンパイプラインに登録される必要があります。安全なエクスプロイト検証を使用して、Resolvyは新しく見つかったアセットで実行されているサービスに、実際に到達可能で悪用可能な脆弱性が含まれていないかを検証します。
この「検出」と「検証」の自動化された連携により、開発者のスピードに合わせてセキュリティ境界も即座に適応させることができます。
結論
存在していることを知らないものを守ることはできません。定期的なアセット監査から、自動化された継続的なアセットディスカバリーへの移行は、もはや贅沢品ではなく、現代のクラウドセキュリティにおける標準要件です。